CrashFix Chrome Extension Delivers ModeloRAT Using ClickFix-Style Browser Crash Lures

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้เปิดเผยรายละเอียดของแคมเปญ ‘KongTuke’ ที่กำลังดำเนินอยู่ ซึ่งใช้ส่วนขยาย Google Chrome ที่เป็นอันตรายปลอมตัวเป็นโปรแกรมบล็อกโฆษณา โดยมีวัตถุประสงค์เพื่อทำให้เบราว์เซอร์ล่มและหลอกให้เหยื่อรันคำสั่งที่กำหนดเองผ่านกลลวงสไตล์ ‘ClickFix’ เพื่อส่งมัลแวร์ Remote Access Trojan (RAT) ตัวใหม่ชื่อ ‘ModeloRAT’ การโจมตีนี้เรียกว่า ‘CrashFix’ และเกี่ยวข้องกับการโปรไฟล์เหยื่อ การใช้ส่วนขยายที่เป็นอันตรายที่ดาวน์โหลดจาก Chrome Web Store การทำให้เบราว์เซอร์เกิด DoS และการส่ง Payload โดยมีเป้าหมายที่สภาพแวดล้อมขององค์กรด้วย ModeloRAT และส่ง Payload สำหรับการทดสอบไปยังเวิร์กสเตชันแบบสแตนด์อโลน

Severity: สูง

System Impact:

• Google Chrome (ส่วนขยายเบราว์เซอร์, DoS)
• Microsoft Edge (มีการอ้างถึงในคำเตือนความปลอดภัยปลอม)
• Windows (การรันคำสั่ง, ModeloRAT, ยูทิลิตี้ finger.exe)
• สภาพแวดล้อมขององค์กร (เป้าหมายหลักในการส่ง ModeloRAT ไปยังเครื่องที่เข้าร่วมโดเมน)
• เวิร์กสเตชันแบบสแตนด์อโลน (ได้รับ Payload สำหรับการทดสอบ)

Technical Attack Steps:

1. เหยื่อค้นหาโปรแกรมบล็อกโฆษณาและได้รับโฆษณาที่เป็นอันตรายซึ่งนำไปสู่ส่วนขยาย ‘NexShield – Advanced Web Guardian’ บน Chrome Web Store อย่างเป็นทางการ
2. ส่วนขยาย (โคลนของ uBlock Origin Lite) จะถูกติดตั้งและส่ง ID เฉพาะไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี
3. ส่วนขยายจะหน่วงเวลา (60 นาทีแรก จากนั้นทุก 10 นาที) และจงใจทำให้เบราว์เซอร์เกิด Denial-of-Service (DoS) โดยการสร้างการวนซ้ำที่ไม่สิ้นสุดของการเชื่อมต่อ runtime port ซึ่งนำไปสู่การใช้ทรัพยากรมากเกินไปและเบราว์เซอร์ล่ม
4. เมื่อเบราว์เซอร์เริ่มใหม่ จะมีคำเตือนความปลอดภัยปลอมปรากฏขึ้น โดยอ้างว่าเบราว์เซอร์ ‘หยุดทำงานผิดปกติ’ และกระตุ้นให้ทำการ ‘สแกน’ โดย Microsoft Edge
5. เหยื่อถูกหลอกให้เปิดกล่องโต้ตอบ Windows Run และวางคำสั่งที่คัดลอกไว้ล่วงหน้า
6. คำสั่งนี้ใช้ยูทิลิตี้ ‘finger.exe’ ของ Windows เพื่อดึงและรันสคริปต์ PowerShell จากเซิร์ฟเวอร์ของผู้โจมตี
7. สคริปต์ PowerShell ที่ใช้การเข้ารหัส Base64 และ XOR จะดึงสคริปต์ PowerShell ขั้นที่สอง
8. สคริปต์ขั้นที่สองจะสแกนหาเครื่องมือวิเคราะห์และตัวบ่งชี้เครื่องเสมือน (VMs) และตรวจสอบประเภทของเครื่อง (เข้าร่วมโดเมนหรือสแตนด์อโลน)
9. หากเครื่องเข้าร่วมโดเมน จะมีการติดตั้ง ModeloRAT (RAT บน Windows ที่ใช้ Python) ซึ่งสร้างการคงอยู่ผ่าน Registry และสื่อสารกับเซิร์ฟเวอร์ Command-and-Control (C2) (เช่น 170.168.103[.]208 หรือ 158.247.252[.]178)
10. หากเป็นเวิร์กสเตชันแบบสแตนด์อโลน เซิร์ฟเวอร์ C2 จะตอบกลับด้วยข้อความ ‘TEST PAYLOAD!!!!’ ซึ่งบ่งชี้ว่าอาจอยู่ในช่วงการทดสอบ

Recommendations:

Short Term:

• ระมัดระวังอย่างยิ่งในการติดตั้งส่วนขยายเบราว์เซอร์ แม้กระทั่งจากร้านค้าอย่างเป็นทางการ
• ตรวจสอบความถูกต้องของส่วนขยายและผู้เผยแพร่ก่อนติดตั้ง
• ห้ามรันคำสั่งที่ปรากฏจากคำเตือนเบราว์เซอร์หรือป๊อปอัปที่ไม่คาดคิด
• ลบส่วนขยาย ‘NexShield – Advanced Web Guardian’ หรือส่วนขยายที่น่าสงสัยอื่นๆ ออกทันที
• อัปเดตเว็บเบราว์เซอร์เป็นเวอร์ชันล่าสุดเสมอ

Long Term:

• ใช้โซลูชันการตรวจจับและตอบสนองที่ปลายทาง (EDR) ที่มีประสิทธิภาพ
• จัดการอบรมสร้างความตระหนักด้านความปลอดภัยเป็นประจำ โดยเน้นกลลวงทางวิศวกรรมสังคมและการฟิชชิง
• ใช้และอัปเดตซอฟต์แวร์ป้องกันไวรัสและมัลแวร์ให้ทันสมัยอยู่เสมอ
• จำกัดนโยบายการรัน PowerShell หากเป็นไปได้
• เฝ้าระวังทราฟฟิกเครือข่ายสำหรับการสื่อสาร C2 ที่น่าสงสัย
• ให้ความรู้แก่ผู้ใช้งานเกี่ยวกับการท่องเว็บอย่างปลอดภัยและวิธีระบุโฆษณา/ส่วนขยายที่เป็นอันตราย
• ใช้การทำ Whitelisting แอปพลิเคชันเพื่อป้องกันการรันซอฟต์แวร์ที่ไม่ได้รับอนุญาต

Source: https://thehackernews.com/2026/01/crashfix-chrome-extension-delivers.html